Un nuevo malware para Android llamado RatOn ha pasado de ser una herramienta básica capaz de realizar ataques de retransmisión de comunicación de campo cercano (NFC) a un sofisticado troyano de acceso remoto con capacidades de sistema de transferencia automatizada (ATS) para realizar fraudes de dispositivos.
"RatOn combina los ataques de superposición tradicionales con las transferencias automáticas de dinero y la funcionalidad de retransmisión NFC, lo que la convierte en una amenaza excepcionalmente poderosa", dijo la compañía holandesa de seguridad móvil en un informe publicado hoy.
El troyano bancario viene equipado con funciones de adquisición de cuentas dirigidas a aplicaciones de billetera de criptomonedas como MetaMask, Trust, Blockchain.com y Phantom, al mismo tiempo que es capaz de realizar transferencias de dinero automatizadas abusando de George Česko, una aplicación bancaria utilizada en la República Checa.
Además, puede realizar ataques similares a los de ransomware utilizando páginas superpuestas personalizadas y bloqueo de dispositivos. Vale la pena señalar que también se observó una variante del troyano HOOK para Android que incorporaba pantallas superpuestas de estilo ransomware para mostrar mensajes de extorsión.
La primera muestra que distribuye RatOn se detectó en la naturaleza el 5 de julio de 2025, y se descubrieron más artefactos el 29 de agosto de 2025, lo que indica un trabajo de desarrollo activo por parte de los operadores.
RatOn ha aprovechado las páginas falsas de listados de Play Store que se hacen pasar por una versión para adultos de TikTok (TikTok 18+) para alojar aplicaciones dropper maliciosas que entregan el troyano. Actualmente no está claro cómo se atrae a los usuarios a estos sitios, pero la actividad ha señalado a los usuarios de habla checa y eslovaca.
Una vez instalada la aplicación cuentagotas, solicita permiso al usuario para instalar aplicaciones de fuentes de terceros a fin de eludir las medidas de seguridad críticas impuestas por Google para evitar el abuso de los servicios de accesibilidad de Android.
La carga útil de la segunda etapa luego procede a solicitar servicios de accesibilidad y administración de dispositivos, así como permisos para leer / escribir contactos y administrar la configuración del sistema para realizar su funcionalidad maliciosa.
Esto incluye otorgarse permisos adicionales según sea necesario y descargar un malware de tercera etapa, que no es más que el malware NFSkate que puede realizar ataques de retransmisión NFC utilizando una técnica llamada Ghost Tap. La familia de malware se documentó por primera vez en noviembre de 2024.
"Las funciones de toma de control de cuentas y transferencia automatizada han demostrado que el actor de amenazas conoce bastante bien las partes internas de las aplicaciones objetivo", dijo ThreatFabric, describiendo el malware como construido desde cero y sin compartir similitudes de código con otro malware bancario de Android.
Eso no es todo. RatOn también puede servir pantallas superpuestas que se asemejan a una nota de rescate, alegando que los teléfonos de los usuarios han sido bloqueados para ver y distribuir pornografía infantil y que deben pagar $ 200 en criptomonedas para recuperar el acceso en dos horas.
Se sospecha que las notas de rescate están diseñadas para inducir una falsa sensación de urgencia y obligar a la víctima a abrir las aplicaciones de criptomonedas, realizar la transacción de inmediato y permitir que los atacantes capturen el código PIN del dispositivo en el proceso.
"Con el comando correspondiente, RatOn puede iniciar la aplicación de billetera de criptomonedas objetivo, desbloquearla usando un código PIN robado, hacer clic en los elementos de la interfaz que están relacionados con la configuración de seguridad de la aplicación y, en el paso final, revelar frases secretas", dijo ThreatFabric, detallando sus características de adquisición de cuentas.
Posteriormente, los datos confidenciales son registrados por un componente keylogger y se filtran a un servidor externo bajo el control de los actores de amenazas, quienes luego pueden usar las frases iniciales para obtener acceso no autorizado a las cuentas de las víctimas y robar activos de criptomonedas.
Algunos comandos notables que son procesados por RatOn se enumeran a continuación:
- send_push, para enviar notificaciones push falsas
- screen_lock, para cambiar el tiempo de espera de la pantalla de bloqueo del dispositivo a un valor especificado
- WhatsApp, para lanzar WhatsApp
- app_inject, para cambiar la lista de aplicaciones financieras específicas
- update_device, para enviar una lista de aplicaciones instaladas con la huella digital del dispositivo
- send_sms, para enviar un mensaje SMS mediante servicios de accesibilidad
- Facebook, para lanzar Facebook
- nfs, para descargar y ejecutar el malware NFSkate APK
- transferencia, realizar ATS con George Česko
- Bloquear, para bloquear el dispositivo mediante el acceso de administración de dispositivos
- add_contact, para crear un nuevo contacto con un nombre y un número de teléfono especificados
- grabar, para iniciar una sesión de transmisión de pantalla
- para activar o desactivar la transmisión de pantalla
"El grupo de actores de amenazas inicialmente apuntó a la República Checa, siendo Eslovaquia probablemente el próximo país de enfoque", dijo ThreatFabric. "La razón detrás de concentrarse en una sola aplicación bancaria sigue sin estar clara. Sin embargo, el hecho de que las transferencias automatizadas requieran números de cuentas bancarias locales sugiere que los actores de amenazas pueden estar colaborando con mulas de dinero locales".
